Como posso rastrear uma conexão através de um servidor proxy e / ou uma VPN?

Acho que as postagens acima destacam pontos válidos. É altamente improvável que você chegue a algum lugar com o rastreamento deles, e mesmo que o faça, provavelmente não conseguirá fazer nada a respeito.

A coisa mais proativa a fazer é encontrar maneiras de impedir que isso aconteça e garantir que suas caixas estejam seguras.

O ambiente em que trabalho tem uma regra que diz que, se tivermos sofrido ataques (sustentados, neste caso, definidos como 10 ou mais tentativas em uma hora), teríamos que denunciá-lo. Isso significava que estávamos hospedando centenas de relatórios por semana devido à grande quantidade de pessoas que examinavam nossa rede. Discutimos e decidimos deixar de lado o lado do relatório, pois estávamos confiantes de que nossos sistemas eram seguros e que precisávamos apenas ser digitalizados / tentados.

Para HTTP, alguns proxies alguns adicionam um cabeçalho HTTP especial, como X-Forwarded- Para , especifique o endereço IP original. Se presente, então seu valor deve ser usado com cuidado, pois pode-se facilmente adicionar um cabeçalho falso e fazê-lo referir-se a uma pessoa inocente.

Esse cabeçalho não o ajudará quando estiver lidando com FTP (que não tem a noção de cabeçalhos HTTP), mas talvez o mesmo endereço IP de proxy esteja nos logs do servidor da Web aproximadamente ao mesmo tempo. Se assim for, então você ainda precisa fazer o seu servidor web escrever os cabeçalhos no log, ou pelo menos este cabeçalho especial.

A única maneira de rastrear algo através de um proxy / VPN é obter acesso aos logs mantidos por esse proxy, normalmente entrando em contato com o proprietário, dando a eles um horário e um IP que foram acessados (cuidado com os fusos horários) e perguntando para descobrir quem estava ligado a você naquele momento. Alguns provedores legítimos ajudarão você, para atividades sérias, a maioria dos proxies / VPNs estão em máquinas com raiz, portanto, ninguém manterá registros.

A maioria dos servidores FTP permite que você bloqueie alguém após várias tentativas de login com falha. Você também pode fazer o mesmo a partir do seu firewall, dependendo da configuração. As probabilidades de você rastrear isso de volta para alguém são quase zero, tudo que você pode fazer é verificar se sua máquina não foi comprometida, se as senhas estão seguras e configurar seu servidor para bloquear invasores.

Se eles são servidores SOCKS5, provavelmente não haverá impressões digitais externas que você possa encontrar na atividade de FTP que chega ao seu servidor FTP. (Outros protocolos como o SMTP têm algumas dicas). Em outras palavras, uma conexão proxy SOCKS5 obedece estritamente ao princípio de "transparência".

(Pode haver pistas muito pequenas, em nível de TCP, específicas do fornecedor, mas isso é improvável).

Como você sabe que eles são servidores SOCKS5? (Você consegue se conectar aos servidores com um cliente que suporte o SOCKS5?). Se eles exigirem autenticação, você poderá trabalhar com o administrador do proxy. Se você não puder, poderá proibir o tráfego desse endereço IP.

O mesmo pode ser dito de uma VPN, porque eles geralmente têm registro também.

No entanto, a questão mais importante é a natureza do administrador do proxy suspeito. Se eles são legítimos, você pode trabalhar com eles. (Como administradores, ambos têm a responsabilidade e o conhecimento para ajudá-lo). Acho que a descrição do problema é incomum, a maioria das pessoas é atacada através de botnets, onde muitos computadores seqüestrados são a fonte do tráfego. Nesses casos, não há nenhuma contra-parte administrativa (a menos que seja uma única empresa cheia de áreas de trabalho infectadas do Windows) que possa ajudá-lo.

Além disso, se você estiver usando o proftpd, poderá usar mod_delay para tornar mais difícil / mais lento o invasor para procurar por bons nomes de usuário.